Esta norma nace con la vocación de garantizar en la UE la aplicación de los derechos y libertades de las personas físicas en relación con el tratamiento de datos de carácter personal para que se lleva a cabo de forma homogénea en todos los estados miembros.
A continuación indicamos las principales novedades que supone la nueva regulación:
1. ¿CUÁNDO DEBEN EMPEZAR LAS EMPRESAS LA ADAPTACIÓN A ESTA NUEVA NORMATIVA?
Aunque el RGPD será aplicable a partir de mayo de 2018, es imprescindible preparar y adoptar las medidas necesarias para asegurar el cumplimiento de la nueva normativa en el momento en que sea de aplicación. Para ello, las empresas deben realizar un análisis sobre los tratamientos de datos personales que lleven a cabo.
2. ¿CUÁL ES EL ÁMBITO DE APLICACIÓN DE ESTA NORMATIVA?
El RGPD será de obligado cumplimiento para todas las empresas de la UE que realicen un tratamiento de datos de ciudadanos europeos. Pero además hay que tener en cuenta que el RGPD amplía el ámbito de aplicación a aquellas empresas que, aunque estén establecidas fuera de la Unión Europea, traten datos de ciudadanos europeos en relación con una oferta de productos o servicios ofrecidos a los mismos o con el análisis de sus comportamientos.
3. ¿CUÁLES SON LOS NUEVOS DERECHOS QUE INTRODUCE EL RGPD?
El RGPD introduce nuevos derechos para los interesados: el derecho al olvido, derecho a la limitación del tratamiento, derecho a la portabilidad de los datos
- Derecho al olvido: El derecho al olvido no es un derecho separado de los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición), sino la consecuencia del ejercicio de los derechos de cancelación u oposición en el entorno online, que dará lugar al borrado de los datos personales. Los responsables que hayan hecho públicos los datos personales deberán adoptar medidas técnicas para informar a proveedores de servicios de la sociedad de la información de la solicitud del interesado de borrar sus datos.
- Derecho a la limitación del tratamiento: Los interesados podrán solicitar que no se aplicarán a sus datos personales las operaciones de tratamiento que en cada caso corresponderían. Se fijan situaciones tasadas en las que el interesado puede solicitar la limitación del tratamiento de sus datos:
- Cuando ha ejercido los derechos de rectificación u oposición y el responsable esté en proceso de determinar si procede atender a la solicitud.
- Cuando el tratamiento es ilícito pero el interesado se opone al borrado.
- Cuando los datos ya no son necesarios para el tratamiento, pero el interesado los necesita para la formulación, el ejercicio o la defensa de reclamaciones.
- Derecho a la portabilidad: Este derecho supone que el usuario puede solicitar la recuperación de sus datos al responsable de tratamiento para su posterior transmisión a otra entidad. Los datos se transmitirán directamente de un responsable de tratamiento a otro, sin necesidad de que sean transmitidos previamente al propio interesado, si es técnicamente posible. Este derecho solo puede ejercerse cuando el tratamiento:
- Sea automatizado.
- Se base en el consentimiento o en un contrato.
- Respecto de los datos proporcionados al responsable y que conciernan al interesado, incluidos los datos derivados de la propia actividad del interesado.
Los responsables de tratamiento deberán facilitar a los interesados el ejercicio de sus derechos, y los procedimientos y las formas para ello deben ser visibles, accesibles y sencillas.
Además, se requiere que los responsables posibiliten la presentación de solicitudes por medios electrónicos, especialmente cuando el tratamiento se realiza por estos medios.
Deberá informarse al interesado que haya hecho uso de sus derechos en el plazo de 1 mes (aunque sea para informar de la negativa de atender la solicitud).
4. ¿EN QUÉ CONSISTEN LOS CAMBIOS EN EL DEBER DE INFORMACIÓN?
El RGPD amplía la obligación respecto del deber de informar a los usuarios, y exige a las empresas que toda la información que se facilite a los interesados deberá ser concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo.
Además, esta información deberá proporcionarse de modo expreso, preciso e inequívoco, tal y como indica actualmente la normativa actual.
El RGPD amplía el contenido de la información que debe proporcionarse. Por ejemplo, habrá que explicar la base jurídica del tratamiento, la intención o no de realizar transferencias internacionales, los datos del Delegado de Protección de Datos (en el caso de que se haya nombrado uno), el periodo de conservación de los datos, la posibilidad de elaboración de perfiles, así como informar sobre el derecho que asiste a los usuarios para dirigir sus reclamaciones ante las autoridades de protección de datos si consideran que sus datos se están tratando de forma desproporcionada o ilícita.
5. ¿CAMBIA LA FORMA EN LA QUE HAY QUE OBTENER EL CONSENTIMIENTO?
Una de las novedades más destacadas de esta normativa consiste en la exigencia de que el consentimiento de los usuarios debe ser libre, informado, especifico e inequívoco. Para que pueda considerarse que existe un consentimiento inequívoco este debe prestarse mediante una manifestación del interesado o mediante una clara acción afirmativa.
Adicionalmente, el consentimiento deberá ser EXPLÍCITO en el caso de tratamiento de datos sensibles, la adopción de decisiones automatizadas y la realización de transferencias internacionales.
Además, el interesado deberá otorgar su consentimiento para cada una de las finalidades del tratamiento de sus datos.
Por todo ello, aquellos consentimientos que se den por omisión o sean tácitos, serán contrarios a esta nueva normativa.
6. ¿A QUÉ EDAD PUEDEN LOS MENORES PRESTAR SU CONSENTIMIENTO PARA EL TRATAMIENTO DE SUS DATOS PERSONALES?
Respecto al consentimiento de los menores de edad, será lícito prestarlo sin tutores cuando éstos tengan 16 años, aunque el RGPD deja abierta la posibilidad a cada esta miembro de establecer otros límites inferiores siempre que no sean menores de 13 años. En este sentido, la redacción actual del Proyecto de Ley Orgánica de Protección de Datos en España establece la edad mínima en 13 años.
7. ¿CUÁNDO DEBO NOMBRAR UN DELEGADO DE PROTECCIÓN DE DATOS?
La nueva figura del Delegado de Protección de Datos (DPO) será obligatoria para aquellas empresas que realicen tratamientos que requieran una observación habitual y sistemática de los interesados a gran escala o cuando se lleve a cabo un tratamiento a gran escala de datos sensibles.
Entre las principales funciones del DPO se encuentran asesorar a las empresas y sus trabajadores sobre el cumplimiento normativo y actuar como punto de contacto entre estos y la Agencia de Protección de Datos en caso de consultas o cualquier otro asunto. El DPO podrá pertenecer a la propia empresa o ser externo.
8. ¿CUÁNDO DEBEN REALIZARSE EVALUCIONES DE IMPACTO SOBRE PROTECCIÓN DE DATOS?
Los responsables del tratamiento deberán realizar una Evaluación de impacto sobre la Protección de Datos (EIPD) antes de iniciar los tratamientos que puedan suponer un alto riesgo para los derechos y libertades de los interesados. El RGPD define 3 criterios base que indican cuándo hay obligatoriedad de realizar una EIPD:
- Cuando se realice una evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar;
- Cuando se realice un tratamiento a gran escala de datos sensibles, o de los datos personales relativos a condenas e infracciones penales
- Cuando se realice una observación sistemática a gran escala de una zona de acceso público
9. ¿QUÉ DEBE HACER UNA EMPRESA EN CASO DE EXISTENCIA DE UNA BRECHA DE SEGURIDAD?
El RGPD exige que las empresas, en un plazo máximo de 72 horas, notifiquen a la Agencia Española de Protección de Datos cualquier violación de seguridad que suponga un riesgo para los derechos y libertades de los interesados.
10. ¿CUÁNDO ES NECESARIO FIRMAR UN CONTRATO DE ENCARGADO DE TRATAMIENTO?
Será necesario firmar un contrato de encargado de tratamiento, con todas aquellas empresas que tengan que acceder a datos personales de los que es titular el responsable del tratamiento.
A través de este contrato, el encargado de tratamiento se comprometerá a utilizar los datos personales de los usuarios conforme las finalidades que el responsable del tratamiento indique y a no aplicarlos o utilizarlos con un fin distinto al que figure en dicho contrato.
En cuanto respecta al contenido mínimo de los contratos de encargo de tratamiento, el nuevo RGPD destaca que se deben tener en cuenta las siguientes cuestiones:
- Instrucciones del responsable del tratamiento: Se debe determinar de forma precisa las instrucciones respecto del encargo realizado, así como las comunicaciones a terceros que el responsable encomienda al encargado o que se derivan del servicio prestado.
- Deber de confidencialidad: Hay que establecer la manera en que el encargado del tratamiento garantizará que las personas autorizadas para tratar datos personales se han comprometido a respetar la confidencialidad. Esta obligación debe quedar documentada y a disposición del responsable.
- Las medidas de seguridad: ha de establecerse la obligación del encargado de adoptar todas las medidas de seguridad necesarias. Asimismo, el responsable y el encargado determinarán las medidas técnicas y organizativas apropiadas para garantizar el nivel de seguridad adecuado.
11. ¿QUÉ CONSENCUENCIAS EXISTEN EN CASO DE INCUMPLIMIENTO DE ESTA NORMATIVA?
El RGPD aplica un régimen sancionador mucho más estricto, aumentando de forma considerable las sanciones. En concreto, el importe de las sanciones podrá llegar a alcanzar los 20 millones de euros o el 4% del volumen de negocios total anual del ejercicio financiero anterior.
Si todavía no has adaptado tu empresa al RGPD, contacta con Letslaw, despacho especializado en nuevas tecnologías y derecho digital.